Adobe tung ra các bản vá mới cho lỗ hổng ColdFusion đang bị khai thác tích cực

www.tuoitre.vn -   25/07/2023 08:00:00 355

Adobe đã phát hành một đợt cập nhật mới để giải quyết một bản sửa lỗi chưa hoàn chỉnh cho lỗ hổng ColdFusion được tiết lộ gần đây đang bị khai thác tích cực trong tự nhiên.

Adobe tung ra các bản vá mới cho lỗ hổng ColdFusion đang bị khai thác tích cực

Thiếu sót nghiêm trọng, được theo dõi là CVE-2023-38205 (điểm CVSS: 7,5), được mô tả là một trường hợp kiểm soát truy cập không phù hợp có thể dẫn đến bỏ qua bảo mật. Nó tác động đến các phiên bản sau:

  • ColdFusion 2023 (Bản cập nhật 2 trở về trước)
  • ColdFusion 2021 (Bản cập nhật 8 trở về trước)
  • ColdFusion 2018 (Bản cập nhật 18 trở về trước)

“Adobe biết rằng CVE-2023-38205 đã bị khai thác trong tự nhiên trong các cuộc tấn công hạn chế nhắm vào Adobe ColdFusion,” công ty cho biết.

Bản cập nhật cũng giải quyết hai lỗ hổng khác, bao gồm một lỗi khử lưu huỳnh nghiêm trọng (CVE-2023-38204, điểm CVSS: 9,8) có thể dẫn đến thực thi mã từ xa và một lỗ hổng kiểm soát truy cập không đúng cách thứ hai cũng có thể mở đường cho việc vượt qua bảo mật ( CVE-2023-38206, điểm CVSS: 5,3).

Tiết lộ được đưa ra vài ngày sau khi Rapid7 cảnh báo rằng bản sửa lỗi được áp dụng cho CVE-2023-29298 chưa hoàn thiện và nó có thể bị các tác nhân độc hại vượt qua một cách tầm thường. Công ty an ninh mạng đã xác nhận rằng bản vá mới đã lấp đầy hoàn toàn lỗ hổng bảo mật.

CVE-2023-29298, một lỗ hổng bỏ qua kiểm soát truy cập, đã được vũ khí hóa trong các cuộc tấn công trong thế giới thực bằng cách xâu chuỗi lỗ hổng đó với một lỗ hổng khác bị nghi ngờ là CVE-2023-38203 để thả vỏ web vào các hệ thống bị xâm nhập để truy cập cửa sau.

Người dùng Adobe ColdFusion được khuyến nghị cập nhật cài đặt của họ lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 81
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 74
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 192
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 159
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 44
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 35
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

LIÊN HỆ

Thông tin liên hệ